12 obowiązków podmiotu przetwarzającego

Podstawą przetwarzania danych osobowych przez podmiot przetwarzający powinna być umowa lub inny instrument prawny, który podlega prawu Unii Europejskiej lub prawu państwa członkowskiego i wiążę podmiot przetwarzający i administratora, określając:

• przedmiot i czas trwania przetwarzania,
• charakter i cel przetwarzania,
• rodzaj danych osobowych,
• kategorie osób, których dane dotyczą,
• obowiązki i prawa administratora.

To właśnie z tej umowy powinny wynikać szczegółowe obowiązki podmiotu przetwarzającego. Jakie konkretnie? O tym przeczytasz w dalszej części artykułu.

O umowie powierzenia na ogół powinien pamiętać administrator danych. Coraz częściej jednak to już podmioty przetwarzające, zdające sobie sprawę ze swoich obowiązków, mają odpowiednie wzory umów, wraz z zapisami lub załącznikami określającymi zasady powierzenia danych. Podnosi to jeszcze bardziej ich wiarygodność i profesjonalizm.

Obowiązki spoczywające na procesorze mogą zostać oparte o standardowe klauzule umowne. Dotyczy to także przypadku, w którym są one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu. Komisja Europejska może bowiem określić standardowe klauzule umowne dotyczące poruszanych kwestii zgodnie z procedurą sprawdzającą.

Przede wszystkim podmiot przetwarzający ma obowiązek wykonywać polecenia administratora w zakresie danych osobowych objętych umową powierzenia przetwarzania danych.Dotyczy to też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

Wyjątkiem jest sytuacja, w której obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takiej sytuacji przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

Podmiot przetwarzający musi pamiętać o upoważnieniu swojego personelu do przetwarzania powierzonych danych osobowych. W tym zakresie powinien zapewnić, by osoby upoważnione zostały zobowiązane do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

Wymogi w zakresie bezpieczeństwa danych uregulowane w art. 32 RODO dotyczą także procesora. Powinien on więc wdrożyć odpowiednie środki techniczne i organizacyjne, uwzględniając przy tym:

• stan wiedzy technicznej,
• koszt wdrażania,
• charakter, zakres, kontekst i cele przetwarzania
• ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Jakie rozwiązania wybierać? Odpowiedzi może dostarczyć umowa powierzenia.

Podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego (tzw. podprocesora) bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora (art. 28 ust. 2 RODO).

Jeżeli zgody udzielono ogólnie, wówczas procesor powinien poinformować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających. W konsekwencji administrator może wyrażać sprzeciw wobec takich zmian.

Na podprocesora nakładane są te same obowiązki zakresie ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Dlatego od podprocesora należy oczekiwać zwłaszcza gwarancji wdrożenia odpowiednich środków bezpieczeństw danych adekwatnych do wymogów RODO.

Z drugiej strony za poczynania podprocesora odpowiada względem administratora procesor (art. 28 ust. 4 RODO). Innymi słowy, jeżeli podmiot przetwarzający przy określaniu celów i sposobów przetwarzania w umowie podpowierzenia naruszy RODO, wówczas będzie traktowany w tym zakresie tak jak administrator.

Dlatego właśnie procesor powinien nawiązywać współpracę jedynie z takimi podprocesorami, którzy gwarantują odpowiedni poziom bezpieczeństwa powierzanych im danych. Wystarczające gwarancje mogą być wykazane m.in. poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji.

W miarę możliwości podmiot przetwarzający powinien pomagać administratorowi w realizacji uprawnień podmiotów danych:

• sprostowania danych,
• usunięcia danych,
• ograniczenia przetwarzania,
• przenoszenia danych.

Wsparcie administratora powinno dotyczyć także innych aspektów:

• zapewnienia bezpieczeństwa danych osobowych,
• zgłaszania naruszenia ochrony danych organowi nadzorczemu,
• zawiadamiania o tym podmiotów, której dane dotyczą,
• prowadzenie oceny skutków dla ochrony danych,
• uprzednich konsultacji z organem nadzorczym.

Administrator musi usuwać dane osobowe, jak również ich kopie. Powinien to zrobić niezwłocznie po zakończeniu świadczenia usług związanych z przetwarzaniem. Ewentualnością jest zwrot danych osobowych administratorowi. Wszystko zależy tu od jego decyzji. Wyjątkiem jest sytuacja, w której prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

Procesor powinien też udostępniać administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w RODO. Przede wszystkim zaś umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji. Co więcej, powinien przyczyniać się do nich.

Obowiązkiem podmiotu przetwarzającego jest także prowadzenie rejestru kategorii czynności przetwarzania. Taki rejestr powinien określać:

• imię i nazwisko lub nazwę oraz dane kontaktowe procesora (gdy ma to zastosowanie — przedstawiciela podmiotu przetwarzającego),
• analogiczne dane każdego administratora, w którego imieniu działa procesor (w tym IOD);
• kategorie przetwarzań dokonywanych w imieniu każdego z ADO;
• kwestie przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (ze wskazaniem nazwy adresata oraz rodzajów zabezpieczeń).
• ogólny opis technicznych i organizacyjnych środków bezpieczeństwa z art. 32 ust. 1 RODO.

Rejestru kategorii czynności przetwarzania nie musi prowadzić procesor, który zatrudnia mniej niż 250 osób. Prowadzenie rejestru będzie jednak obowiązkowe niezależnie od liczby zatrudnionych, gdy przetwarzanie, którego dokonuje procesor:

• może powodować ryzyko naruszenia praw lub wolności podmiotów danych,
• nie ma charakteru sporadycznego lub
• obejmuje szczególne kategorie danych osobowych.